2024数据库国测揭晓:安全与可靠的新标准,你了解多少?

2024年数据库国测的结果,于9月份的最后一天发布了。

对于数据库行业的从业者来说,国测是我们绕不过去的坎儿。那么什么是国测?为什么要通过国测,以及国测的要求有哪些?

这篇文章带大家一探究竟。

国测

自愿平等、客观公正

什么是国测?

国测是中国信息安全测评中心和国家保密科技测评中心推出的安全可靠测评

国测,通俗来讲,就是安全测评

国测的官网是:中国信息安全测评中心

网址:http://www.itsec.gov.cn/

目的

为什么要进行国测?

安全可靠测评的目的是对计算机终端和服务器搭载的基础软硬件产品(包括数据库)进行全面的安全评估,以确保这些产品的安全性和可靠性。 这有助于提升关键信息基础设施、金融服务、医疗卫生、政府机构等行业的信息安全保障水平。

对象

国测针对哪些产品?

安全可靠测评的对象主要是计算机终端和服务器搭载的软硬件产品,包括中央处理器(CPU)、操作系统、数据库等。 这些产品都是信息系统的重要组成部分,其安全性和可靠性直接关系到整个信息系统的安全稳定。

国测指南

测评流程与申请条件

安全可靠测评申请流程分为材料提交材料审核受理评审3个阶段。

为确保测评工作的顺利进行,送测单位需满足以下申请条件:

  • 送测单位应为中国境内注册的实体,具有送测产品完备的研发文档、设计资料、代码数据和研发环境。
  • 送测单位需拥有与送测产品相关的发明专利、商标、著作权等知识产权或授权。
  • 送测单位应具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍和工作环境。
  • 送测单位应不存在违反中国法律法规的行为和记录。
  • 送测单位应不存在依据中国相关法规条例认定的知识产权滥用、失信等行为。

1、材料提交

送测单位需遵循自主自愿的原则,在规定的受理期内,通过电子邮件方式向上述两个测评中心提交**《安全可靠测评申请登记表》** 的扫描件。

受理期每年固定两次,分别为

  • 1月第一个工作日至2月最后一个工作日
  • 7月第一个工作日至8月最后一个工作日

邮件发送地址分别为PDTSCC的pdtscc@mail.itsec.gov.cn和NSSTEC的nsstecaqkk@163.com

测评机构在收到申请登记表后,将在5个工作日内通知送测单位前往指定地点领取测评申请材料清单。送测单位需根据清单准备相关材料,并确保材料的真实性。在受理期内,送测单位需将这些材料提交至测评机构。

2、材料审核

测评机构收到送测单位提交的申请材料后,将开展严格的材料审核工作。审核周期通常为15个工作日,之后测评机构会向送测单位反馈审核意见。

若材料审核通过,送测单位将进入受理评审环节。若未通过,送测单位可根据审核意见在受理期内补充完善申请材料并重新提交。值得注意的是,受理期截止后,测评机构将不再接受任何申请材料和补充材料。

3、受理评审

受理期结束后,测评机构将根据送测单位提交的申请材料进行受理评审,并反馈评审结果。

对于通过受理评审的送测单位,测评机构将与其明确测试样品和测评材料的相关要求,核定测评工作量,确定测评费用,并签订测评协议。随后,送测单位将进入测评实施环节。

若送测单位未通过受理评审或未能与测评机构达成测评协议,则本次测评将终止。

测评实施

信息安全产品测评流程与主要内容

1、测评启动

测评流程始于测评机构的通知。送测单位在接到通知后的10个工作日内,需提交测试样品及测评材料。测评机构在确认这些材料及样品无误后,将正式启动测评工作。

2、测评开展

测评过程涵盖了多个环节,包括但不限于材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核以及样品测试。在这一阶段,送测单位需积极响应测评机构的需求,提供必要的技术支持或补充相关材料。若测试样品出现问题,送测单位需及时更换或补充。

原则上,测评机构将在测评启动后的90个工作日内完成测评。但请注意,送测单位补充材料、更换或补充样品的时间不计入测评周期。如遇特殊情况或不可抗力,测评周期可适当延长。

在测评过程中,若发现送测产品存在可能影响或涉及网络安全法律法规的问题,需先确认产品符合相关法律法规后,再继续测评。同时,若送测单位存在隐瞒、欺骗、提交虚假材料或不配合测评等行为,测评机构将终止本次测评,并作出不通过处理,且在两年内不再受理其测评申请。

3、结果评定

测评完成后,测评机构将对测评情况进行分级评定,并出具安全可靠测评结果。

4、测评主要内容

测评内容主要针对送测产品和送测单位进行。

对于送测产品,测评将关注其

  • 设计、开发、生产等关键环节是否在中国境内完成,是否实施了必要的安全防护措施;
  • 是否遵守了中华人民共和国知识产权相关法律法规和行业标准规范;
  • 是否存在未声明功能和已知安全风险
  • 安全风险防护能力如何
  • 供应链安全性和持续稳定性如何;
  • 服务保障是否安全、持续稳定且可追溯;
  • 是否符合中华人民共和国网络安全相关的法律法规及技术标准;
  • 以及是否满足技术要件对测评机构充分公开和可追溯的要求。

对于送测单位,测评将关注其

  • 是否依据中华人民共和国相关法律法规合法合规运营,并具备相关的运营、研发、管理、服务等资质
  • 是否实施了知识产权保护及管理;
  • 是否对核心数据、重要数据进行了保护
  • 供应链服务的情况或风险如何
  • 是否具备与送测产品研发设计、生产制造、供应保障、售后维护相匹配的人员队伍
  • 是否具备产品定制开发能力,并能基于自身产品构建产业生态,保持生态开放性、透明性,满足各种应用场景需求;
  • 是否具备漏洞响应等能力与管理机制
  • 是否具备及时有效的售后服务能力与管理机制
  • 是否具备送测产品的独立研发能力,并拥有相关知识产权保护;
  • 是否具备送测产品的研发环境及过程记录
  • 是否确保测评材料对测评机构充分公开和可追溯

综上所述,信息安全产品的测评流程严格且全面,旨在确保产品的安全可靠,为信息安全领域的发展提供有力保障。

结果查询

1.送测单位可通过中国信息安全测评中心(网址: www.itsec.gov.cn)和国家保密科技测评中心(网址:www.nsstec.org.cn)官方网站查询测评结果,测评结果自发布之日起有效期3年。

为什么测评的有效期是3年?

一方面是产品的升级迭代,一方面是网络攻击的手段和技术也更新迭代了。

所以测评结果肯定是有时效性的,但如果时间太短,测评过程中需要投入大量的人力、物力和财力,成本太高,将有效期定在3年,可以在一定程度上平衡测评成本与效率之间的关系。

2.测评结果有效期内,若送测单位出现实控人或控股权发生变化产品技术路线更换产品被发现重大安全漏洞等可能影响测评结果的情形,送测单位应及时告知测评机构。未及时告知的,测评机构有权视情处置,直至取消产品测评结果。

  • 在测评过程中,尽量不要发生如上的情况,影响测评结果

3.送测单位对测评结果有异议,采用书面方式向测评机构提出申诉。一般情况下,测评机构30个工作日内予以答复。

4.未通过测评的送测产品,送测单位一年内不得重复送测同类产品。

  • 也就是说,没通过,要再等一年。

国测结果分析

以下是2024年9月30日发布的国测结果:

需要注意是的:

  • 时间有效期:国测的结果有效期为三年,因此,在有效期内,清单上的产品都是经过国家权威机构认证的安全可靠产品。
  • 产品分类与级别:国测清单将产品分为集中式和分布式两大类,并分别给出了一级二级的认证级别。其中,二级认证是目前的最高级别,表明产品在安全可靠方面达到了国家层面的最高标准。(实际上分为1-4级)
  • 产品版本与名称国测清单对产品的版本和名称都有严格的要求。因此,在选择产品时,需要仔细核对产品的版本和名称是否与清单上的信息一致。
  • 产品选择与应用:对于信创要求比较严格的单位,在选择数据库产品时,需要认真分析产品的性能、安全可靠性以及是否符合国家层面的政策要求。同时,还需要注意产品的版本问题,确保所选产品是经过国家权威机构认证的安全可靠版本。

比如,PolarDB是一个总的品牌或产品线,但旗下的不同产品(如PolarDB-O、PolarDB-PG、PolarDB-M、PolarDB-X)在架构、功能、性能以及安全可靠性方面可能存在显著差异。因此,不能简单地将所有PolarDB产品都视为同一类产品或同等安全可靠。

具体来说,PolarDB-X作为分布式数据库产品,其通过国测意味着它在分布式数据库领域的安全可靠性得到了国家权威机构的认可。而PolarDB-O则是集中式数据库产品,其去年通过国测的版本与PolarDB-X在架构上存在本质区别。 同样,PolarDB-PG和PolarDB-M虽然与PolarDB-X有一定的技术关联或相似性,但也不能直接等同于PolarDB-X或视为同等安全可靠的产品。

对于信创要求比较严格的单位来说,在选择数据库产品时,需要认真分析产品的具体型号、版本、架构以及安全可靠性认证情况。同时,还需要考虑产品的兼容性、可扩展性、性能表现以及售后服务等因素。只有这样,才能确保所选产品符合信创要求,并能够满足单位的实际需求。

此外,建议相关单位在选择数据库产品时,加强与供应商或服务商的沟通与交流,充分了解产品的技术特点、应用场景以及安全可靠性等方面的信息。同时,也可以参考国家权威机构发布的测评报告或认证结果,以获取更加客观、准确的产品评价信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/64160.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VMware ubuntu12.04怎么设置静态IP联网

记得刚开始学习嵌入式就是从ubuntu12.04的环境开始学习的C语言,当时没有弄清楚怎么设置静态IP联网,现在写一篇文章。 1.首先,关闭ubuntu的网络; 2.电脑使用的是wifi,将VMware桥接到该网卡上; 3.在虚拟机设置里面选择桥…

python 基于 docx 文件模板生成 docx 或 PDF 文件

需求背景 提供一个Word文档模板,使用python程序替换里边的占位符,替换内容包括文本和图片,然后输出docx或者PDF文件。 功能演示 输入示例 输出示例 实现程序 import os import shutil import subprocess import timefrom docx import Doc…

【Python篇】PyQt5 超详细教程——由入门到精通(序篇)

文章目录 PyQt5 超详细入门级教程前言序篇:1-3部分:PyQt5基础与常用控件第1部分:初识 PyQt5 和安装1.1 什么是 PyQt5?1.2 在 PyCharm 中安装 PyQt51.3 在 PyCharm 中编写第一个 PyQt5 应用程序1.4 代码详细解释1.5 在 PyCharm 中运…

【Axure教程】动态统计字数

动态统计字数通常用于文本编辑、编程、社交媒体、写作工具、SEO优化、表单与调查以及数据分析等场景,帮助用户实时跟踪文字量,保证内容符合特定的格式或要求,提高工作效率和质量。 今天我们就来学习,怎么在Axure中制作能根据输入…

【YashanDB知识库】oracle与yashanDB的jdbc返回常量列“0.00“的精度和刻度不一致

本文内容来自YashanDB官网,原文内容请见 https://www.yashandb.com/newsinfo/7610110.html?templateId1718516 问题现象 客户预期常量列"0.00"应该映射到java里的浮点类型,结果却是跑到整型。 1、应用的sql 2、应用的java代码 3、执行结果…

Ripro V5日主题 v8.3 开心授权版 wordpress主题虚拟资源下载站首选主题模板

RiPro主题全新V5版本,是一个优秀且功能强大、易于管理、现代化的WordPress虚拟资源商城主题。支持首页模块化布局和WP原生小工具模块化首页可拖拽设置,让您的网站设计体验更加舒适。同时支持了高级筛选、自带会员生态系统、超全支付接口等众多功能&#…

CAPL如何设置或修改CANoe TCP/IP协议栈的底层配置

在CANoe中创建网络节点作为以太网主机时,可以给其配置独立的TCP/IP Stack。 配置的协议栈有一些底层配置参数可以在界面上设置或修改,比如: MTU上图中MTU显示500只是图形界面显示错误,正确值是1500。 TCP延迟确认这些参数也可以通过CAPL动态配置,甚至CAPL还可以配置很多界…

县城楼市踩踏式降价,或现2字头,率先回归月薪一平方的合理价格

在一二线城市都在欢呼10月份、11月份成交量回升,楼价回稳的时候,广东一些县城却先顶不住了,大举降价,显示出县城楼市房价率先回归月薪一平方的合理水平,这将对全国楼市产生巨大影响。 据了解这个县城的楼价此前较为稳定…

利用Docker分层构建优化镜像大小

合适docker镜像文件大小不仅影响容器启动效率,也影响资源占用效率。本文介绍如何利用分层方式构建docker镜像,采用多种方式避免镜像文件太大而影响性能。 Docker 镜像大小优化的重要性 资源利用效率 较小的镜像文件在存储和传输过程中占用更少的空间和带…

深度学习面试相关-2024.12.15记录

深度学习 面试相关- 2024.12.15记录 目录 深度学习 面试相关- 2024.12.15记录整体常问问题1数学基础1.1 概率统计1.2 线代 2机器学习算法2.1 深度学习算法2.2 机器学习算法 整体常问问题 https://www.nowcoder.com/discuss/353154899112304640 1数学基础 1.1 概率统计 htt…

从零用java实现 小红书 springboot vue uniapp (2)主页优化

前言 移动端演示 http://8.146.211.120:8081/#/ 前面的文章我们基本完成了主页的布局 今天我们具体的去进行实现 并且分享我开发时遇到的问题 首先先看效果 java仿小红书主页 实现效果为 1.顶端全屏切换 2.上划加载更多 3.下拉当前页整体刷新 顶端全屏切换我们选择 gui-switch…

idea 配置 git .gitignore文件配置

.gitignore 内容 .idea/ *.iml target/ *.class *.log .iml在idea项目里面创建一个.gitignore名字的文件,然后把这个文件提交到git上。我一般是放到.idea同级目录。 我遇到了几种情况这个文件配置了但是不生效的情况 第一种 Git的缓存可能会导致配置不生效。尝试…

双指针---移动0

常见的双指针有两种形式,⼀种是对撞指针,⼀种是快慢指针。 这里写自定义目录标题 题目链接 [移动0](https://leetcode.cn/problems/move-zeroes/description/)问题分析代码解决 题目链接 移动0 问题分析 在本题中,我们可以⽤⼀个 cur 指针来…

人工智能的历史概况和脉络

人工智能( AI ) 的历史始于古代,当时有神话、故事和谣言称,人工生物被工匠大师赋予了智慧或意识。从古代到现在,对逻辑和形式推理的研究直接导致了20 世纪 40 年代可编程数字计算机的发明,这是一种基于抽象数学推理的机器。这种设…

基于Arduino的智能太阳能追光系统设计(论文+源码)

1系统方案设计 本次的设基于Arduino的智能太阳能追光系统的设计,整体结构如图2.1所示。整个系统包括Arduino开发板,按键模块,太阳能板,X轴电机,Y轴电机,电池充电模块,电源模块,四路光照检测模块…

AI+智慧海洋数据集

需要的同学私信联系,推荐关注上面图片 右下角订阅号平台 自取下载。 AI智慧海洋数据可以促进海洋科技领域人工智能新技术产、学、研、用协作,引领行业技术创新,助力AI智慧海洋高质量发展,进一步推广人工智能与海洋科技的融合创新…

56.合并区间

以数组 intervals 表示若干个区间的集合,其中单个区间为 intervals[i] [starti, endi] 。请你合并所有重叠的区间,并返回 一个不重叠的区间数组,该数组需恰好覆盖输入中的所有区间 。 示例 1: 输入:intervals [[1,3]…

域名信息收集(小迪网络安全笔记~

附:完整笔记目录~ ps:本人小白,笔记均在个人理解基础上整理,若有错误欢迎指正! 2.1 域名信息收集 引子:上一章介绍了服务器的信息收集。本篇则介绍在面对存在Web资产企业时,其域名信息该如何收…

怎样使用Eclipse创建Maven的Java WEB 项目

文章目录 1、第一种方式(选择 archetype 方式) 1.1、第一步:创建项目1.2、第二步:配置jre1.3、第三步:配置tomcat1.4、第四步:设置为WEB3.11.5、第五步:配置Maven的编译级别 1.5.1、第一种方法…

细说STM32F407单片机SPI基础知识

目录 一、 SPI接口和通信协议 1、 SPI硬件接口 (1)MOSI(Master Output Slave Input) (2)MISO(Master Input Slave Output) (3)SCK 2、SPI传输协议 (1)CPHA0时的数据传输时序 …